Zugriff auf PF-Sense aus anderem Subnetz
-
Tagchen,
ich habe vor kurzem eine PFSense Firewall als transparent bridge in unser Netzwerk integriert. Dabei habe ich einen 3en Ports für Adminzugriffe im Netzwerk des Standortes konfiguriert. Nun ist dieser Standort nicht der selbe wie der, in dem sich mein Arbeitsplatz befindet. Beide Standorte sind über eine Standleitung direkt miteinander verbunden, haben aber unterschiedliche subnetze.So befindet sich die Firewall im Netz 193.0.13.0/24 und ich mich im Netz 10.1.0.0/22
Nun möchte ich gern zu Wartungszwecken aus meinem Netz auf die Firewall zugreifen können. Wie muss ich die Firewall an dieser Stelle konfigurieren? Ein Zugriff auf das 193.0.13.0/24 Netz besteht grundsätzlich, die Firewall scheint mich nur auszusperren weil ich nicht aus Ihrem Netz komme.
Vielen Dank schon mal
-
Hi,
die Firewall sperrt dich nur dann aus (Zugriff auf die WebUI) wenn die Regel das so verlangt. Da du leider nichts über deine Regeln schreibst, ist das also schwer zu sagen. Ich vermute aber, dass du ggf. als Source das entsprechende mgmt_NET als Quelle definiert hast, und da sitzt du natürlich nicht drin. Ein "any" an der Stelle sollte dann helfen.
Gruß
-
Hallöchen,
Danke für die schnelle Reaktion.In den Anlagen findet sich zum einen die Konfiguration des Ports so wie die Regeln dazu. Pingen kann ich die ganze Geschichte auch von meinem PC aus.
Gruß
-
Warum hat dein Wartungsport ein Gateway? Er ist kein WAN und sollte somit keines benötigen. Alles andere sind eigentlich statische Routen und kein "Default" Gateway des Interfaces?
-
Ohne das Standard-Gateway bekomme ich nicht mal nen Ping.
Routen habe ich gar keine erstellt.
EDIT*
Zumindest bekomme ich mit Gateway einen Ping aus dem anderen Netz, im Netz in dem die IP des Wartungsports liegt, klappt ja eh alles. -
Richtig, aber das "Gateway" ist wie gesagt eigentlich (zumindest von dem wenigen was ich weiß von deiner Konfig) falsch. Richtig wären Routen zu setzen und ein Gateway anzulegen, über den dein Netz für die pfSense erreichbar ist. Aber beim Interface selbst wird auf einem LAN eigentlich kein GW benötigt.
